檢閱環境中探索到的應用程式清單之後,您可以透過下列方式核准 (已 核准) 的安全應用程式,或禁止未 經核准) (不需要的應用程式,以保護您的環境。
必要條件
您必須先符合下列需求,才能封鎖探索到的雲端應用程式:
- 在適用於端點的 Microsoft Defender 中開啟雲端保護,適用於端點的 Microsoft Defender
- 在適用於端點的 Microsoft Defender中開啟網路保護。
- 在組織中的所有非 Microsoft 瀏覽器上安裝 Microsoft Defender 瀏覽器保護附加元件。
核准/取消核准應用程式
您可以按一下列末尾的三個點,將特定有風險的應用程式標示為未核准。 然後選取 [未核准]。 取消核准應用程式不會封鎖使用,但可讓您更輕鬆地使用雲端探索篩選來監視其使用情況。 然後,您可以通知使用者未核准的應用程式,並建議替代的安全應用程式供其使用,或使用 Defender for Cloud Apps API 產生封鎖腳本,以封鎖所有未核准的應用程式。
注意事項
上線至內嵌 Proxy 或透過應用程式連接器連線的應用程式,所有這類應用程式都會在 Cloud Discovery 中自動核准狀態。
封鎖具有內建串流的應用程式
如果您的租使用者使用適用於端點的 適用於端點的 Microsoft Defender,一旦您將應用程式標示為未核准,它就會自動封鎖。 此外,您可以將封鎖範圍限定為特定的適用於端點的 Defender 裝置群組、監視應用程式,以及使用 警告和教育 功能。 如需詳細資訊,請參閱使用 適用於端點的 Microsoft Defender 控管探索到的應用程式。
否則,如果您的租用戶使用 Zscaler NSS、iboss、Corrata、Menlo 或 Open Systems,則當應用程式未核准時,您仍然可以享受無縫封鎖功能,但您無法依裝置群組使用範圍,或警告 和教育 功能。 如需詳細資訊,請參閱 與 Zscaler 整合、 與 iboss 整合、 與 Corrata 整合、 與 Menlo 整合以及 與開放系統整合。
透過匯出封鎖指令碼來封鎖應用程式
Defender for Cloud Apps 可讓您使用現有的內部部署安全性設備,封鎖對未核准應用程式的存取。 您可以生成專用塊指令碼並將其導入到您的裝置。 此解決方案不需要將組織的所有 Web 流量重新導向至 Proxy。
在雲端探索儀錶板中,將您想要封鎖的任何應用程式標記為 [未核准]。
在標題列中,選取 動作, 然後選取 產生區塊指令碼...。
在 產生區塊指令碼中,選取您要為其產生區塊指令碼的裝置。
然後選取 [產生指令碼] 按鈕,為所有未核准的應用程式建立封鎖指令碼。 依預設,檔案會以匯出日期和您選取的應用裝置類型來命名。 2017-02-19_CAS_Fortigate_block_script.txt 將是一個示例文件名。
將建立的檔案匯入至您的應用裝置。
封鎖不支援的串流
如果您的租用戶未使用上述任何串流,您仍然可以匯出所有未核准應用程式的所有網域清單,並將第三方不支援的設備設定為封鎖這些網域。
在 [探索到的應用程式] 頁面中,篩選所有 未核准的 應用程式,然後使用匯出功能匯出所有網域。
不可封鎖的應用程式
為了防止使用者意外封鎖業務關鍵服務並造成停機,無法透過 UI 或原則使用 Defender for Cloud Apps 封鎖下列服務:
- Microsoft Defender for Cloud Apps
- Microsoft Defender 資訊安全中心
- Microsoft 365 安全性中心
- 適用於身分識別的 Microsoft Defender
- Microsoft Purview
- Microsoft Entra 權限管理
- Microsoft 條件式存取應用程式控制
- Microsoft 安全分數
- Microsoft Purview
- Microsoft Intune
- Microsoft 支援
- Microsoft AD FS 說明
- Microsoft 支援
- Microsoft Online Services
治理衝突
如果 手動控管動作 與 原則設定的控管之間發生衝突,則套用的最後一個作業優先。
後續步驟
如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。